A Gaze Ransomware titkosítja rendszerét

A rosszindulatú fájlminták vizsgálata során csapatunk nemrég fedezte fel a Djvu ransomware család új változatát, a Gaze nevet.

A Gaze úgy működik, hogy titkosítja az adatokat, és hozzáadja a „.gaze” kiterjesztést a megcélzott fájlokhoz. A titkosítási folyamatot követően a ransomware egy „_readme.txt” nevű váltságdíjat hagy maga után.

A Gaze egy sajátos fájlátnevezési megközelítést alkalmaz, ahol az olyan neveket, mint az „1.jpg” „1.jpg.gaze”-re és a „2.png” „2.png.gaze”-re módosítja. A Djvu család részeként a Gaze gyakran megtalálható más rosszindulatú szoftverekkel, például RedLine-nal, Vidar-ral és információlopókkal együtt. A váltságdíj-jegyzet tartalmát elemezve azt tapasztaltuk, hogy annak elsődleges célja a támadókkal való kapcsolatfelvételre és a részleges kifizetés megszervezésére vonatkozó utasítások megadása. A "_readme.txt" fájl két e-mail címet tartalmaz: support@freshmail.top és datarestorehelp@airmail.cc. Sőt, a váltságdíjat két különböző összegű váltságdíj vázolja fel: 980 és 490 dollár.

A feljegyzés kifejezetten kimondja, hogy az áldozatoknak lehetőségük van kedvezményes áron megszerezni a visszafejtő eszközöket, beleértve a szükséges szoftvert és kulcsot is, ha egy meghatározott 72 órás időkereten belül kapcsolatba lépnek a támadókkal.

A Gaze Ransom Note 72 óra alatt növeli a váltságdíjat

A Gaze váltságdíj teljes szövege a következő:

FIGYELEM!

Ne aggódjon, az összes fájlt visszaküldheti!
Minden fájl, például képek, adatbázisok, dokumentumok és egyéb fontosak a legerősebb titkosítással és egyedi kulccsal titkosítva vannak.
A fájlok helyreállításának egyetlen módja a visszafejtő eszköz és az egyedi kulcs vásárlása.
Ez a szoftver visszafejti az összes titkosított fájlt.
Milyen garanciák vannak?
Elküldheti az egyik titkosított fájlt a számítógépéről, és mi ingyenesen visszafejtjük.
De csak 1 fájlt tudunk visszafejteni ingyen. A fájl nem tartalmazhat értékes információkat.
Beszerezheti és megnézheti a videó áttekintő visszafejtő eszközét:
hxxps://we.tl/t-sD0OUYo1Pd
A privát kulcs és a visszafejtő szoftver ára 980 dollár.
50% kedvezmény elérhető, ha az első 72 órában kapcsolatba lép velünk, ez az ár 490 USD.
Kérjük, vegye figyelembe, hogy fizetés nélkül soha nem állítja vissza adatait.
Ha több mint 6 órán belül nem kap választ, ellenőrizze e-mailjeit a "Spam" vagy a "Levélszemét" mappában.

A szoftver beszerzéséhez írjon e-mailünkre:
support@freshmail.top

Foglaljon e-mail címet a kapcsolatfelvételhez:
datarestorehelp@airmail.cc

Személyi azonosítód:

Hogyan terjesztik a Ransomware Like Gaze-t általában online?

Az olyan zsarolóprogramokat, mint a Gaze, általában online terjesztik különféle módszereken keresztül, amelyek kihasználják a sebezhetőségeket és az emberi viselkedést. Íme néhány általános terjesztési módszer:

• Adathalász e-mailek: A ransomware terjesztésének egyik elsődleges módja az adathalász e-mailek. A támadók megtévesztő e-maileket küldenek törvényes szervezeteknek vagy személyeknek kiadva, gyakran rosszindulatú mellékletekkel vagy hivatkozásokkal. Miután az áldozat megnyitja a mellékletet vagy rákattint a hivatkozásra, a zsarolóprogram letöltődik és végrehajtódik.
• Rosszindulatú webhelyek és rosszindulatú hirdetések: A zsarolóvírusok terjeszthetők feltört vagy rosszindulatú webhelyeken keresztül. Az ilyen webhelyek látogatása vagy rosszindulatú hirdetésekre való kattintás (rosszindulatú reklámozás) zsarolóprogramok nem szándékos letöltéséhez és végrehajtásához vezethet. Az ezeken a webhelyeken tárolt kizsákmányoló készletek azonosíthatják a szoftverek vagy a webböngészők sebezhetőségét a zsarolóvírusok továbbításához.
• A szoftversérülékenységek kihasználása: A Ransomware üzemeltetői gyakran használják ki a szoftverek, operációs rendszerek vagy alkalmazások sebezhetőségeit, hogy jogosulatlan hozzáférést szerezzenek a rendszerekhez. Kihasználják a nem javított vagy elavult szoftvereket a zsarolóvírus hasznos terhelésének biztosítására, amely csendben, felhasználói beavatkozás nélkül végrehajtható.
• Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, ha rosszindulatú kódot fecskendeznek be legitim webhelyekre a webhely tulajdonosának vagy a látogatóknak a tudta vagy beleegyezése nélkül. Egy fertőzött webhely egyszerű meglátogatása elindíthatja a zsarolóprogramok letöltését és végrehajtását, kihasználva a látogató böngészőjének vagy bővítményeinek sebezhetőségét.